使用交互憑證存取伺服器並傳送安全的 S/MIME 訊息

Notes® 交互憑證

可以使用交互憑證，讓不同階層認證之組織的使用者及伺服器存取其他組織的伺服器，以及驗證其他組織的使用者數位簽章。Domino® 伺服器會在「Domino® 名錄」中儲存交互憑證。若要存取 Domino® 伺服器，Notes®用戶端會取得那些伺服器的交互憑證，並將其儲存在「通訊錄」中。這些交互憑證只供簽發的使用者使用。

例如，如果 Alan Jones/Sales/East/Renovations 想存取 支援/Seascape 伺服器，則需要來自 /Seascape 的交互憑證，而 支援/Seascape 伺服器需要 /Sales/East/Renovations 的交互憑證。Alan 嘗試驗證 支援/Seascape 伺服器時，會檢查 Alan「通訊錄」中的交互憑證。如果 支援/Seascape 找到有效的交互憑證，則會檢查是否允許 Alan 存取伺服器。

交互憑證能發生在不同的組織層級。例如，若要允許某個組織內的每個使用者與其他組織的每個伺服器進行驗證，則每個使用者在「通訊錄」中都有其他組織發證者的交互憑證。每一個組織中的伺服器，在 Domino® 名錄中都擁有其他組織發證者的交互憑證。交互憑證亦可能發生在個別使用者或伺服器 ID 層級。例如，若要允許單一使用者與其他組織單位的伺服器進行鑑別，或驗證來自該組織單位的使用者數位簽章，則使用者 ID 需要其他公司之組織單位認證者的交互憑證，且組織單位認證者需要使用者 ID 的交互憑證。

雙向交互憑證不需對稱。例如，一個組織可以擁有組織單位認證者的交互憑證，而另一個組織可以擁有組織認證者的交互憑證。

如果擁有組織或組織單位認證者的交互憑證，請設定伺服器權限限制，防止其他組織存取儲存機密資訊的特定伺服器。若要讓組織存取另一個組織的伺服器，但要防止該組織存取您的伺服器，請在必要時交換交互憑證，但要在所有伺服器中設定伺服器存取權清單，以防止其他組織存取。

網際網路交互憑證

網際網路交互憑證是驗證使用者或伺服器的憑證。網際網路交互憑證能讓加密的 S/MIME 訊息收件者確定可信任寄件者的憑證，且簽署 S/MIME 訊息的憑證有效。當 Notes® 用戶端使用 SSL 來存取網際網路伺服器時，也會驗證伺服器的身分。

網際網路交互憑證儲存在使用者「通訊錄」的「憑證」文件中，並只供發出的使用者使用。網際網路交互憑證的簽發有最後一層憑證 (亦即，由 CA 簽發給使用者或伺服器的憑證) 或 CA 本身。建立最後一層憑證的交互憑證表示只信任憑證的擁有者，例如，簽署訊息的傳送者或加密訊息的收件者。CA 的交互憑證表示信任擁有 CA 簽發的憑證的所有擁有者。如果您交互認證 CA，您信任 CA 發出憑證給階層式名稱樹狀結構中不是很高的使用者和伺服器。例如，交互憑證 Sales/ABC 後，您會信任 Sales/ABC 簽發憑證給 Fred/Sales/ABC。或者，在建立 Fred/Sales/ABC 的交互憑證後，您就只信任 Fred/Sales/ABC。